Ten borec co mi to spravoval a zivi se tim mi prave napsal:

And yes, there was a spike in malware recently, I've noticed also, by the number of fixes that I have done lately.

A nektery firmy co se tim zivi mely dokonce na webu napsany ze neprijmaj novy zakazky.

Podle me to fakt hodne smrdi a bude bud nejaka vrazda v jadru nebo nejakym top50 pluginu

Nic si z toho nedělej, neštěstí nikdy nechodí samo.

Jádro většinou bejvá v pohodě, ale s pluginy bývají průsery. Jinak na mých webech je zatím klid, nebo je to dokonale schované :)

tyvole ja uz nevim, ted jsem pro zmenu pri praci nasel na uplne jinym webu a jinym hostingu uzivatele s mailem email@example.com a nickem "manda" co vytvari posty plny spamu? opet vsechno aktualizovany.

bud jsem ten nejsmolnejsi WP dev na svete, nebo je ve WP nejaka kurevska dira o ktery se jeste nemluvi, to prece uz neni mozny

HARDCABB: tak to je veliká paráda. Že by někdo takhle sjel servery zrovna Ignumu se mi moc nechce věřit. Jako je tam eval, takže s tím mohli zkoušet kde co, ale hádám, že by to mělo být maximálně v rámci uživatele. Fakt je, že takovéhle realtime obnovování si jenom s php neumím představit.

co se tyce cisteni, tak mam dobrou zkusenost s timhle, ale neco, co to skenuje pravidelne je zaklad urcite..
[ MRTVY_KENNY @ wordpress ]

todle je teda web na ignum a predpokladam ze je nekdo sundal komplet, takze to s WP nema moc spojitost

na jinym webu u klienta jsem nicmene uplne nahodou pri praci v backendu videl v seznamu pluginu deaktivovanej plugin co tam nemel co delat a byl to jen decoy, spinavy soubory co se tvarily jako plugin. plus byl v /wp-content/uploads/2019/03/ nejakej nesmysl.php, o kterym taky netusim jak se tam dostal. oboji jsem smazal a zatim klid, ale moje paranoia teda roste vic a vic.

MRTVY_KENNY: nefungovala administrace, byla schvalne zablokovana pres htaccess

sledujte tu vrazdu, na ftp jsem smazal VSECHNO a zavirovanej index.php se stejne neustale vraci - vypada to ze chyba neni ve WP ale padl celej server: https://screencast-o-matic.com/watch/cqeuYf0P9Q

HARDCABB: a jak jsi na to prisel? jinak 150e asi neni uplne spatne, nekdy to je dost opruz

jinak zvysene docela je, pravda.. (graf z wordfence)

Rozloupal jsem ten kód z index.php. Přikládám v příloze.

Nemám čas se v tom moc hrabat, takže to berte s rezervou, ale můj odhad na první dobrou je, že to má crawlerům cpát jiné dokazy (takže liknbuilding :) ), nebo se útočník bude tvářit jako crawler, aby nebyl nápadný v logu. Jinak je tam ještě seznam IP adres, které by stálo za to proklepnout. Buď od tud chodí útočník, nebo jsou to crawlery.

Přenechávám k dalšímu pitvání :)

• unobfus.txt

Jinak co do toho koukám, tak to tam jede eval a pokud vím, WP eval nepotřebuje (u pluginů člověk neví, ale jádro prostě nepotřebuje). Tj. pokud si zakážeš eval, mělo by to být v pohodě.

To samozřejmě neřeší, jak se tam ta věc dostala. Kandidátem jsou pluginy, co nějak zapisují do souborů. Takže cache (náhodou, nemáš tam W3 Total Cache? ), cokoliv co si řeší updaty jinak než standardně, generátory feedů a podobně. No a nebo jestli se tam třeba někdo nepřipojuje na FTP bez šifrování, ale to už je velkej kyberpunk :)

CYBERWOLF: nemam, sorry vole :))

uz jsem si najal nejakou firmu co cisti napadeny WP, chtej za to €150 a vysledek bude do 24 hodin. tak jsem zvedavej co s tim provedou.

HARDCABB: zajímavý, nenašel bys tam ještě md5_check.php?

CYBERWOLF: jsou toho fakt tuny, rozlezly dokonce do slozek co nemaj s WP nic spolecnyho, vubec nevim co s tim ted delat

• wp-interst.php
• wp-counts.php
• newsslide.php
• ms.php
• index2.php
• index.php
• akismet.php

HARDCABB: možná, kdybys napsal nějaký detaily ohledně těch zakódovaných souborů, že bych se mohl podívat. Nebo je třeba rovnou lupnout jako přílohu (nyx je spouštět nebude a asi nikdo nebude takovej filuta, že by si je nahrál na web).

za posledni tyden mam napadeny dva weby, oba pravidelne aktualizovany - nasel jsem zakodovany soubory ruzne na ftp, na jednom webu prepsany komplet vsechno vcetne htaccess, indexu a podobne - nikde na netu ale nemuzu najit ze by se nasla nejaka dira at uz v WP nebo v nejakym pluginu - u vas vsechno ok?

Na Themeforest jsou nejprodávanější šablony a pluginy s výraznou slevou! Konec hlášení.